Benutzer-Werkzeuge

Webseiten-Werkzeuge


thoschwiki:linux:ubuntumatebtrfsencrypted

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung
Vorherige Überarbeitung
Nächste Überarbeitung Beide Seiten, nächste Überarbeitung
thoschwiki:linux:ubuntumatebtrfsencrypted [28.11.2020 10:25]
thosch 'Probleme mit der Tastaturbelegung' in eigenen Abschnit verlegt
thoschwiki:linux:ubuntumatebtrfsencrypted [27.06.2021 17:06]
thosch Befehlsequenzen in Einzelzeilen aufgebrochen.
Zeile 1: Zeile 1:
 ====== Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung ====== ====== Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung ======
- 
-<note>Die Seite befindet sich im Aufbau.</note> 
  
 Bei der Installation soll ein //Ubuntu Mate 20.04.1// in einem //[[wpde>Btrfs|BTRFS-Filesystem]]// installiert und das System verschlüssel werden. Bei der Installation soll ein //Ubuntu Mate 20.04.1// in einem //[[wpde>Btrfs|BTRFS-Filesystem]]// installiert und das System verschlüssel werden.
Zeile 112: Zeile 110:
  
   mount -o subvol=@,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt   mount -o subvol=@,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt
 +
   mount -o subvol=@home,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt/home   mount -o subvol=@home,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt/home
  
Zeile 117: Zeile 116:
  
   for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done   for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done
 +
   sudo cp /etc/resolv.conf /mnt/etc/   sudo cp /etc/resolv.conf /mnt/etc/
 +
   sudo chroot /mnt   sudo chroot /mnt
  
Zeile 149: Zeile 150:
  
   export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable   export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable
 +
   echo "cryptdata UUID=${UUIDVDA3} none luks" >> /etc/crypttab   echo "cryptdata UUID=${UUIDVDA3} none luks" >> /etc/crypttab
  
Zeile 168: Zeile 170:
  
   swapoff /dev/sda3   # swap deaktivieren, falls aktiv   swapoff /dev/sda3   # swap deaktivieren, falls aktiv
 +
   cryptsetup luksFormat --type=luks1 /dev/sda3   cryptsetup luksFormat --type=luks1 /dev/sda3
  
Zeile 194: Zeile 197:
  
   export SWAPUUID=$(blkid -s UUID -o value /dev/sda3)   export SWAPUUID=$(blkid -s UUID -o value /dev/sda3)
 +
   echo "cryptswap UUID=${SWAPUUID} none luks" >> /etc/crypttab   echo "cryptswap UUID=${SWAPUUID} none luks" >> /etc/crypttab
      
Zeile 213: Zeile 217:
  
   mkdir /etc/luks   mkdir /etc/luks
 +
   dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=4096 count=1   dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=4096 count=1
 +
   chmod u=rx,go-rwx /etc/luks   chmod u=rx,go-rwx /etc/luks
 +
   chmod u=r,go-rwx /etc/luks/boot_os.keyfile   chmod u=r,go-rwx /etc/luks/boot_os.keyfile
  
Zeile 220: Zeile 227:
  
   cryptsetup luksAddKey /dev/sda2 /etc/luks/boot_os.keyfile   # /   cryptsetup luksAddKey /dev/sda2 /etc/luks/boot_os.keyfile   # /
 +
   cryptsetup luksAddKey /dev/sda3 /etc/luks/boot_os.keyfile   # swap   cryptsetup luksAddKey /dev/sda3 /etc/luks/boot_os.keyfile   # swap
  
-<note tip>Sofern an dieser Stelle die Meldung <code>Kein Schlüssel mit dieser Passphrase verfügbar.</code> ausgegeben wird, wurde die Passphrase nicht korrekt eingegeben.</note>+<note tip>Sofern nach dem Ausführen eines der beiden Befehle die Meldung <code>Kein Schlüssel mit dieser Passphrase verfügbar.</code> ausgegeben wird, wurde die Passphrase nicht korrekt eingegeben.</note>
  
 Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war: Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war:
Zeile 238: Zeile 246:
   Key Slot 6: DISABLED   Key Slot 6: DISABLED
   Key Slot 7: DISABLED   Key Slot 7: DISABLED
 +
 +Anschließend die gleiche Prüfung für ''/dev/sda3'' durchführen.
  
 Weitere Sicherungsmaßnahmen: Weitere Sicherungsmaßnahmen:
  
   echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook   echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook
 +
   echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf   echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf
  
Zeile 273: Zeile 284:
  
   update-initramfs -c -k all   update-initramfs -c -k all
 +
   grub-install /dev/sda   grub-install /dev/sda
 +
   update-grub   update-grub
  
Zeile 322: Zeile 335:
   * die gewünschte Zeichenfolge in der "US-Tippweise" als zusätzliche Passphrase((LUKS erlaubt 8 Passphrase bzw. Schlüssel pro Volume)) vorgeben (z.B. "yulu>echo" statt "zulu:echo"   * die gewünschte Zeichenfolge in der "US-Tippweise" als zusätzliche Passphrase((LUKS erlaubt 8 Passphrase bzw. Schlüssel pro Volume)) vorgeben (z.B. "yulu>echo" statt "zulu:echo"
  
 +Sofern man eine zusätzliche Passphrase hinzufügen möchte, kann man zuerst den Zustand der Key-Stores ermitteln:
 +
 +  # cryptsetup luksDump /dev/sda2 | grep "Key Slot"
 +  Key Slot 0: ENABLED
 +  Key Slot 1: DISABLED
 +  Key Slot 2: DISABLED
 +  Key Slot 3: DISABLED
 +  Key Slot 4: DISABLED
 +  Key Slot 5: DISABLED
 +  Key Slot 6: DISABLED
 +  Key Slot 7: DISABLED
 +
 +Die zusätzliche Passphrase wird dann folgt hinzugefügt:((Sofern nicht bereits ein Konsole mit root-Rechten geöffnet ist, muss ein ''sudo'' vorangestellt werden)):
 +
 +  # cryptsetup luksAddKey /dev/sda2
 +  Geben Sie irgendeine bestehende Passphrase ein: 
 +  Geben Sie die neue Passphrase für das Schlüsselfach ein: 
 +  Passphrase bestätigen: 
 +
 +<note tip>Sofern nach der Abfrage der bestehenden Passphrase die Meldung <code>Kein Schlüssel mit dieser Passphrase verfügbar.</code> ausgegeben wird, wurde die Passphrase nicht korrekt eingegeben.</note>
 +
 +Abschließend noch den Zustand des Key-Stores prüfen:
 +
 +  # cryptsetup luksDump /dev/sda2 | grep "Key Slot"
 +  Key Slot 0: ENABLED
 +  Key Slot 1: ENABLED
 +  Key Slot 2: DISABLED
 +  Key Slot 3: DISABLED
 +  Key Slot 4: DISABLED
 +  Key Slot 5: DISABLED
 +  Key Slot 6: DISABLED
 +  Key Slot 7: DISABLED
 +
 +Es sollte nun ein Key-Slot mehr belegt sein.
 +
 +<note tip>Wurde für die verschlüsselte Swap-Partition eine [[#schluesseldatei_implementieren_optional|Schlüsseldatei eingerichtet]], dann ist es ausreichend nur für das root-Filesystem eine weitere Passphrase vorzugeben.</note>
 ===== Fazit ===== ===== Fazit =====
  
thoschwiki/linux/ubuntumatebtrfsencrypted.txt · Zuletzt geändert: 28.08.2022 17:58 von thosch